Requête d'ajout SQL

J'ai un petit problème lorsque je tente d'exécuter une requête d'ajout SQL sous VB.NET. La voici:

INSERT INTO Brasseurs (Brasseur, Adresse, Coordonnees, Telephone, Telecopieur, Courriel) VALUES (txtBrasseur.Text, txtAdresse.Text, txtCoordonnees.Text, txtTelephone.Text, txtTelecopieur.Text, txtCourriel.Text)

Le hic c'est que dans la partie VALUES, elles doivent être entre guillement simple (' '). Donc mon problème est la syntaxe correcte pour faire cela.

Tu la met dans une chaine :

string query = "INSERT INTO Brasseurs (Brasseur, Adresse, Coordonnees, Telephone, Telecopieur, Courriel) VALUES ('" + txtBrasseur.Text + "'" + ", '" + txtAdresse.Text + "', '" + txtCoordonnees.Text + "', '"txtTelephone.Text + "', '"txtTelecopieur.Text + "', '" + txtCourriel.Text + "')";

Puis tu l'exécutes.

+ ne sert pas à concaténer, c'est &

et si l'adresse comporte une apostrophe, la requete plantera avec une concaténation de ce genre !





la solution est d'utiliser les dbparameters

Sinon il faut doubler :

MySQLReq = "SELECT * FROM MA_TABLE WHERE Nom='L''apostrophe' AND... "

Mais la solution propre c'est effectivement d'utiliser des paramètres.

@+

C'est bon merci, ça fonctionne.

Attention aux injections SQL, Utilisez de préférences les paramètres...